Pingback Malware

I dettagli di una particolare minaccia di Windows chiamata malware Pingback sono stati delineati in un post sul blog rilasciato da Trustwave. Questa particolare minaccia ha attirato l'attenzione dei ricercatori a causa della sua dipendenza dall'ICMP (Internet Control Message Protocol) per la comunicazione con i suoi server Command-and-Control (C2, C&C). Inoltre, la minaccia sfrutta un servizio Windows legittimo in una tecnica di dirottamento DLL.

Il malware Pingback è costituito da un file DLL di dimensioni piuttosto ridotte, appena 66 KB, denominato "oci.dll", che in genere viene rilasciato nella cartella "Sistema" del sistema operativo Windows. Invece di essere caricato dal solito rundll32.exe, il file danneggiato utilizza il dirottamento della DLL per forzare un altro processo Windows legittimo denominato msdtc (Microsoft Distributed Transaction Control) ad eseguire "oci.dll".

Vettore di compromesso iniziale

Finora, il vettore iniziale utilizzato per fornire Pingback non è stato stabilito con certezza del 100%. Alcune prove, tuttavia, suggeriscono che potrebbe essere coinvolto un altro campione di malware denominato "updata.exe". Dopotutto, l'analisi di 'updata.exe' ha rivelato che rilascia il file 'oci.dll' mentre esegue anche una serie di comandi che modificano il comportamento di msdtc:

sc stop msdtc
sc config msdtc obj = Localsystem start = auto
sc avvia msdtc

Comunicazione tramite ICMP

Dopo essersi stabilito sul sistema compromesso, il malware Pingback consente all'attore della minaccia di lanciare comandi arbitrari. Prima di ciò, tuttavia, la minaccia deve stabilire una comunicazione con i suoi server C2. I creatori di Pingback hanno deciso di implementare un approccio piuttosto nuovo affidandosi a ICMP per trasferire il traffico avanti e indietro tra gli strumenti dannosi ei loro server. Consente alla minaccia di rimanere effettivamente nascosta all'utente poiché ICMP non richiede porte né si basa su TCP o UDP. In pratica, la minaccia non è rilevabile da alcuni strumenti di diagnostica.

Pingback esamina ogni pacchetto ICMP ricevuto dal sistema infetto e seleziona quelli con numeri di sequenza 1234, 1235 e 1236. Mentre i pacchetti 1235 e 1236 servono come conferma che una richiesta è stata ricevuta su entrambe le estremità, il pacchetto 1234 trasporta gli effettivi comandi non sicuri dell'attore della minaccia. I dati dal C2 possono contenere comandi come shell, download, exec, upload e altro.

Il post del blog Trustweave fornisce alcuni indicatori di compromissione (IoC) associati al malware Pingback:

File: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Rete:
Tipo ICMP = 8
Numero sequenza: 1234 | 1235 | 1236
Dimensione dati: 788 byte